Pārskats: Francijas pasta pakalpojumu lietotne pakļauj mazo uzņēmumu īpašniekus datu noplūdei

Noam Rotem un Ran Locar vadībā, vpnMentor pētījumu komanda atklāja a pārkāpums datu bāzē, kas pieder Genius – Android lietotnei, kuru izveidojis Francijas pasta dienests La Poste. Ģēnijs ir uz lietotnēm balstīts kases aparāts, kas integrē daudzus dažādus procesus, lai palīdzētu mazo veikalu īpašniekiem. Attiecīgā datu bāze galvenokārt ir saistīta ar maksājumiem, kas veikti, izmantojot lietotni. Ar vairāk nekā 23 miljoni ierakstu, tas ir milzīgs datu drošības pārkāpums un padara Genius lietotājus visā Francijā neaizsargātus. Ja ļaunprātīgi hakeri būtu atklājuši šo datu bāzi, sekas varētu būt postošas ​​pakļautajiem.

La Poste uzņēmuma profils

La Poste ir galvenais pasta pakalpojums Francijā, Lielākā daļa pieder Francijas valdībai un darbojas aizjūras teritorijās, kas tradicionāli ir saistītas ar valsti. Tas ir otrs lielākais darba devējs Francijā, tāpat kā daudzi pasta pakalpojumi visā pasaulē, ir paplašinājies ārpus pasta piegādes. Viņu darbība ietver apdrošināšanu, banku darbību, tīmekļa pasta mitināšanu un daudzus citus pakalpojumus privātpersonām. Uzņēmums arī piedāvā pakalpojumi maziem un vidējiem uzņēmumiem (MVU) Francijā. Tajos ietilpst kases aparāta lietotne Genius. Papildus klientu maksājumu apstrādei, Genius palīdz MVU veikt krājumu pārvaldību, datu ziņošanu un analītiku, grāmatvedību un daudzus citus galvenos procesus.. Par ģēniju MVU tiek izrakstīts rēķins kā “modulārs risinājums, kas pielāgojas visām jūsu vajadzībām … Un jūsu budžets!”

Atklāšanas laika grafiks un īpašnieka reakcija

Dažreiz datu pārkāpuma pakāpe un datu īpašnieks ir acīmredzami, un problēma ātri tika atrisināta. Bet reti ir šie laiki. Visbiežāk mums ir vajadzīgas izmeklēšanas dienas, lai saprastu, kas ir uz spēles vai kurš noplūst. Izpratne par pārkāpumu un to, kas ir apdraudēts, prasa īpašu uzmanību un laiku. Mēs smagi strādājam, lai publicētu precīzus un uzticamus pārskatus, nodrošinot, ka visi, kas tos lasa, saprot viņu nopietnību. Dažas skartās puses noliedz faktus, neņemot vērā mūsu pētījumu vai mazinot tā ietekmi. Tāpēc mums jābūt rūpīgiem un jāpārliecinās, ka viss, ko atrodam, ir pareizs un patiess. Šajā gadījumā, identificējot La Poste kā datu bāzes īpašnieku, mēs ar viņiem sazinājāmies ar saviem atzinumiem. Gaidot La Poste atbildi, 18. novembrī mēs sazinājāmies arī ar viņu hostinga uzņēmumu un Francijas neatkarīgo datu privātuma regulatīvo iestādi The Commission nationale de l’informatique et des libertés (CNIL). Datubāze tika slēgta gandrīz trīs nedēļas pēc mūsu pirmā kontakta ar Francijas CNIL.

  • Atklāšanas datums: 11/11
  • Datums, kad pārdevēji sazinājās: 13/11
  • Sazināšanās ar CNIL datums: 18/11
  • Darbības datums: Apm. 8/12

Ierakstu piemērs datu bāzē

Saskaņā ar Genius pakalpojumu sniegšanas noteikumiem La Poste ir apņēmusies: “Veic nepieciešamos pasākumus, lai aizsargātu Personas datus pret nejaušu vai nelikumīgu iznīcināšanu, nejaušu nozaudēšanu, izmainīšanu, izpaušanu vai neatļautu piekļuvi;” “48 stundu laikā no brīža, kad viņš par to uzzina, paziņot klientam. personas datu pārkāpums. ” (Tulkojumā no franču valodas) Tomēr, pamatojoties uz mūsu pētījumu, atklātā datu bāze nebija pietiekami aizsargāta. Tā bija slepenas informācijas noplūde, kas būtu zelta noziedznieks noziedzniekiem un ļaunprātīgiem hakeriem. Mūsu komanda atrada vairāk nekā 15 GB slepenas informācijas ar 23 miljoniem ierakstu, kuru izcelsme ir MVU visā Francijā, Beļģijā, Šveicē, Itālijā, Spānijā un varbūt vairāk. Ieraksti datu bāzē bija kas saistīti ar klientu maksājumiem, izmantojot Genius, kā arī citām funkcijām veikta lietotnē. Katrā ierakstā bija dažādas datu formas, atkarībā no lietotāja veiktajām darbībām. Tie iekļauti Personīgi identificējamas informācijas (PII) dati gan par Genius lietotājiem, gan viņu klientiem, kā arī sensitīvu informāciju par uzņēmumu finansēm un darbību. Iekļautie datubāzē skatāmo lietotāju datu piemēri:

  • Lietotāju, kas izmanto lietotni, vārdi, e-pasta adreses, tālruņu numuri un dzimšanas datumi
  • Lietotāju dzīvesvietas pilsēta un pasta indeksi
  • Informācija par pārdotajiem produktiem (etiķete, cena, svītrkods utt.) Un darījumiem, kas veikti, izmantojot Genius
  • Informācija par pārdevējiem (vārds, e-pasts, tālruņa numurs)
  • Rēķini, kas nosūtīti klientiem un piegādātājiem
  • Uzņēmējdarbības krājumi
  • Gan Genius produktu pārbaude, gan patiesās vērtības
  • To klientu e-pasta adreses, kuri saņēmuši rēķinu, izmantojot Genius
  • Uzņēmuma darījumu kopējās vērtības, kas veiktas, izmantojot Genius
  • Uzņēmuma Siret numurs (Francijas uzņēmuma reģistrācijai)
  • Daudz vairāk

Zemāk ir piemērs tam, kā Genius lietotājs veic salīdzināšanu ar dienas beigām lietotnē (valūtas vērtības tiek norādītas kā kopsumma centros. Piemēram, “10150” = 101.50 euro). Tas ir tikai viens piemērs tam, kā noplūda uzņēmuma sensitīvie dati un finanšu ieraksti: Šajā piemērā, tiek atklāti dati, kas pieder uzņēmumam un vienam no tā darbiniekiem vienlaikus veicot citu darbību lietotnē Genius: Šajā pēdējā piemērā Tiek atklāta klienta PII:Ģēniju izmanto MVU visā Francijā, kā arī citās Eiropas valstīs tostarp Francija, Beļģija, Šveice, Itālija un Spānija. Kā tāds datu bāzē bija ieraksti no Genius lietotāju bāzes daudzās dažādās nozarēs visās šajās valstīs un vēl daudzās citās. Daži no pakļautajiem uzņēmumiem ir šādi piemēri:

  • Nilaï – juvelierizstrādājumu veikals Parīzē
  • By164 – juvelierizstrādājumu veikals Parīzē
  • Lovat&Green – unisex modes mazumtirgotājs, kas atrodas Bilbao, Spānijā
  • Manta – franču dāvanu veikals ar piegādi uz daudzām Eiropas valstīm
  • Louisette – franču ģimenes dāvanu veikals
  • MHD Restauration – mazs, neatkarīgs restorāns

* Piezīme: Lousiette un MHD bija tās tīmekļa vietnē citētā Genius lietotāji, kas piedāvā pozitīvas atsauksmes par šo pakalpojumu. Neatkarīgi no tā, ka klienti atklāj viņu lietotni, datu bāze arī netīši padarīja La Poste darbiniekus neaizsargātus. Pētījuma laikā mūsu komanda līdztekus lietotnes produktu “testa vērtībām” apskatīja arī La Poste darbinieku PII datus, piemēram, viņu vārdus, e-pasta adreses un tālruņu numurus. Tas, visticamāk, bija saistīts ar ietekmētajiem darbiniekiem, kuri pārbaudīja lietotni uzņēmumā.

Datu pārkāpumu ietekme

Šī datu noplūde ir nopietns La Poste un lietotnes Genius izstrādātāju datu drošības protokolu pārkāpums. Lai arī La Poste var tikt slavēts par pārredzamību attiecībā uz viņu lietotāju datu aizsardzību, mūsu komandas atklājums to norāda viņi neveica pietiekamus pasākumus, lai aizsargātu minētos datus. Ja noziedznieki vai ļaunprātīgi hakeri būtu piekļuvuši šiem datiem, būtu nopietna ietekme uz visu skarto personu privātumu un drošību.

La Poste un ģēnijs

Šāda veida noplūde radīsies uzdodiet jautājumus par La Poste vispārējo datu drošības praksi – ne tikai lietotnē Genius, bet visā to plašākā darbībā un meitasuzņēmumu tīklā. Kamēr mēs strādājam, lai novērstu šo noplūdi, nākamie Genius klienti, iespējams, nevēlas lietot viņu biznesa operācijās. Pēc mūsu atklājuma La Poste var cīnīties par uzticības saglabāšanu mazajiem un vidējiem uzņēmumiem, kā arī viņu reputācijai Francijas biznesa aprindās. Kā lielākais Francijas pasta pakalpojums ar klientiem visā Eiropā, La Poste ir Eiropas Savienības un GDPR jurisdikcijā. La Poste savos pakalpojumu sniegšanas noteikumos pat atzīst GDPR, kaut arī ne vārda. Neaizsargājot Genius lietotāju un viņu klientu personas datus, La Poste var būt atbildīga par tiesvedību vai soda naudām ko veic atbilstošas ​​pārvaldes iestādes.

Genius lietotājiem

Šajā datu bāzē atklātie slepenie dati padara šādus datus Ģēniju lietotāji un viņu uzņēmumi ir neaizsargāti pret dažādiem uzbrukumiem un krāpšanas shēmām. Piemēram, autors izmantojot atklātos PII datus, atklātos uzņēmējdarbības un finanšu datus, noziedznieki varētu izveidot efektīvas pikšķerēšanas kampaņas. Pikšķerēšanas kampaņa ir saistīta ar krāpniecisku e-pasta ziņojumu izveidi likumīgu uzņēmumu un valdības struktūru atdarināšana, ko izmanto, lai viltotu mērķus, veicot kādu no šiem:

  • Atklājiet papildu informāciju, piemēram, paroles un lietotājvārdus, privātajos tiešsaistes kontos un e-pasta mitināšanā
  • Piešķiriet piekļuvi finanšu kontiem, piemēram, kredītkartēm vai tiešsaistes bankām
  • Noklikšķiniet uz saites, kurā iegulst ļaunprātīga programmatūra, piemēram, ļaunprātīga programmatūra, izpirkuma programmatūra, spiegprogrammatūra un vīrusi

Ja hakeris, kurš skata atklātos datus, varēja aprēķinot Genius darījumu vidējās vērtības, viņi varētu izstrādāt metodes, kā no lietotāja nozagt naudu nelielās, pieaugošās summās vai vienreizējos maksājumus.. Šo nozagto līdzekļu atgūšana varētu būt ilgs, grūts un neveiksmīgs process, kas pārsniedz daudzu MVU īpašnieku iespējas. Noplūde arī radīja potenciāli traumatiskāku fiziskas briesmas veikalu īpašniekiem. Dienas noslēguma saskaņošana, ko lietotāji veic, izmantojot Genius atklāja fiziskās naudas summas savās telpās, noslēdzot uzņēmējdarbību. Tas potenciālajiem zagļiem sniedz ieskatu par labāko laiku ielauzties vai ielauzties pakļautajā veikalā un nozagt skaidru naudu tieši no telpām. Tāpat kā visās uzskaitītajās valūtu kopsummās, arī šajā koda fragmentā vērtība “10150” ir vienāda ar 101.50 lietotāja valūtā.

Turklāt, tā kā noplūdušie dati atklāja arī šo uzņēmumu klientus, to īpašnieki varētu saskarties ar zaudējumu klientiem, kuri vairs neuzticas uzņēmumiem, kas izmanto Genius, lai saglabātu savus datus drošībā. Visbeidzot, Genius lietotāji var būt neaizsargāti pret konkurentu negodīgu rīcību. Izmantojot piekļuvi pārdošanas un cenu datu analīzei, konkurents var graut lietotāju ar konkurējošiem piedāvājumiem. Tas var vēl vairāk attālināt klientus no pakļautā ģenēzes lietotāja.

Ekspertu ieteikumi

La Poste un Genius izstrādātāji varēja viegli izvairīties no šīs noplūdes ja viņi būtu veikuši dažus pamata drošības pasākumus datu bāzes aizsardzībai. Tie ietver (bet ne tikai):

  1. Nostipriniet savus serverus.
  2. Ieviesiet atbilstošus piekļuves noteikumus.
  3. Nekad neatstājiet internetam atvērtu sistēmu, kurai nav nepieciešama autentifikācija.

Jebkurš uzņēmums var atkārtot tās pašas darbības neatkarīgi no tā lieluma. Lai iegūtu padziļinātu ceļvedi, kā aizsargāt savu biznesu, skatiet mūsu ceļvedi, kā nodrošināt jūsu vietni un tiešsaistes datu bāzi no hakeriem..

Genius lietotājiem

Saskaņā ar viņu pakalpojumu sniegšanas noteikumiem La Poste ir pienākums 48 stundu laikā informēt lietotājus par “visiem personas datu pārkāpumiem”: “Šajā kontekstā [mēs] paziņosim Klientam visu informāciju, kas [mums ir], par nosacījumiem, kas saistīti ar šo Personas datu pārkāpumu.” Cerams, ka viņi izpildīs šo pienākumu un informēs visas noplūdes skartās puses. Ja esat La Poste Genius klients un uztraucaties par to, kā šis pārkāpums varētu jūs ietekmēt, La Poste piedāvā arī norādes, kā paust savas bažas ar ārējām pusēm: “La Poste personas datu aizsardzības politikas ietvaros jūs varat sazināties ar datu aizsardzības inspektoru, CP C703, 9 Rue pulkvedi Pjēru Avia, 75015 PARIS. Ja rodas grūtības ar jūsu personas datu pārvaldību, varat iesniegt sūdzību CNIL. ”

SMB īpašniekiem

Ja jums pieder SMB un uztraucaties par to, kā datu ievainojamība un zādzības varētu ietekmēt jūsu biznesu un klientus, izlasiet mūsu pilnīgo rokasgrāmatu par MVU tiešsaistes privātumu. Tas parāda daudzos veidus, kā kibernoziedznieki mērķē uz mazajiem uzņēmumiem, un darbības, kuras varat veikt, lai saglabātu drošību.

Kā un kāpēc mēs atklājām pārkāpumu

Pētniecības grupa vpnMentor atklāja pārkāpumu La Poste datu bāzēs kā daļa no milzīga tīmekļa kartēšanas projekta. Mūsu pētnieki izmanto portu skenēšanu, lai pārbaudītu noteiktus IP blokus un pārbaudītu, vai sistēmās nav atvērtu caurumu. Viņi pārbauda katru caurumu, vai nav datu noplūdes. Kad viņi atrod datu pārkāpumu, viņi izmanto ekspertu paņēmienus, lai pārbaudītu datu bāzes identitāti, kā arī tās īpašnieku. Pēc tam mēs brīdinām uzņēmumu par pārkāpumu. Ja iespējams, mēs brīdināsim arī visas citas puses, kuras skāris pārkāpums. Mūsu komandai varēja piekļūt šai datu bāzei, jo tā bija pilnīgi nenodrošināta un nešifrēta. La Poste izmanto Elasticsearch datu bāzi, kas parasti nav paredzēta URL lietošanai. Tomēr mēs varējām tam piekļūt, izmantojot pārlūkprogrammu, un manipulēt ar URL meklēšanas kritērijiem, atklājot shēmas. Šī tīmekļa kartēšanas projekta mērķis ir palīdzēt padarīt internetu drošāku visiem lietotājiem. Kā ētiskiem hakeriem mums ir pienākums informēt uzņēmumu, kad mēs atklājam nepilnības viņu tiešsaistes drošībā. Tas jo īpaši attiecas uz gadījumiem, kad uzņēmumu datu pārkāpumos ir šāda privāta informācija. Šī ētika nozīmē arī to, ka mēs uzņemamies atbildību sabiedrības priekšā. Ģēnija lietotājiem jāzina, kā datu noplūde ietekmē arī viņus.

Par mums un iepriekšējie ziņojumi

vpnMentor ir pasaulē lielākā VPN pārskatu vietne. Mūsu pētījumu laboratorija ir pro bono pakalpojums, kura mērķis ir palīdzēt tiešsaistes kopienai aizsargāties pret kiberdraudiem, vienlaikus izglītojot organizācijas par savu lietotāju datu aizsardzību. Agrāk mēs esam atklājuši milzīgu pārkāpumu, pakļaujot klientu datus franču viesnīcu grupai, kas pieder AccorHotels. Mēs atklājām arī datu noplūdi no franču lidojumu rezervēšanas platformas Option Way, apdraudot viņu klientu privātumu. Varat arī izlasīt mūsu ziņojumu par VPN noplūdi un datu privātuma statistiku.